Política de privacidad de menores

La Política de privacidad de menores define requisitos obligatorios de privacidad para el tratamiento de datos personales que implique a menores, servicios dirigidos a menores, servicios que probablemente sean accesibles para menores y otras actividades de tratamiento en las que los datos personales de menores requieran salvaguardas reforzadas. Se aplica en contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento, incluidos sitios web, aplicaciones, juegos, servicios educativos, plataformas en línea, servicios conectados, portales de clientes, entornos de aprendizaje, comunidades y canales de soporte. La política está diseñada para asegurar que los datos personales de menores se identifiquen, gobiernen, minimicen, expliquen, protejan y evidencien mediante salvaguardas adecuadas para tratamientos dirigidos a menores y accesibles para menores. Una característica central de la política es su dependencia de los objetos de evidencia existentes del PIMS en lugar de registros separados específicos para menores. La política exige que el estado dirigido a menores, la probabilidad de acceso por menores, las finalidades, las categorías de datos personales, las categorías de interesados, los destinatarios y las referencias de conservación se capturen en REG02. La evaluación preliminar de riesgos de privacidad y las decisiones de EIPD se canalizan mediante REG04. El consentimiento, la autorización de los padres o tutores legales, el encaminamiento de la retirada y las referencias de justificantes de consentimiento se registran en REG05 cuando proceda. Las solicitudes de derechos relativas a menores se gestionan mediante REG06, las versiones de avisos adaptados a menores mediante REG07, las restricciones de encargados del tratamiento y de intercambio de datos mediante REG08, las evidencias de incidentes mediante REG10, y los registros de auditoría, acciones correctivas y mejora mediante REG12. La política proporciona requisitos operativos detallados para la transparencia adaptada a menores, el consentimiento, la responsabilidad parental, la minimización, la conservación, la participación en derechos, la privacidad desde el diseño y el control de divulgación. Antes de recoger datos personales de menores, los Propietarios de procesos o los propietarios de la empresa deben confirmar que cada categoría de datos personales es necesaria para la finalidad documentada y deben definir los datos mínimos de evaluación de la edad necesarios. Los servicios dirigidos a menores deben aplicar ajustes de privacidad por defecto que protejan la privacidad para la recogida opcional, la visibilidad, el intercambio, la personalización y las comunicaciones. Cuando los datos personales de menores incluyan información de categorías especiales, altamente sensible, de ubicación, biométrica, conductual, de comunicaciones, educativa, sanitaria o relacionada con la seguridad, se requiere la revisión del Delegado de Protección de Datos o del asesor de privacidad, y dicha revisión se registra en REG04. La política también aborda escenarios de mayor riesgo, como la elaboración de perfiles, el análisis conductual, la personalización con efectos significativos, las decisiones automatizadas, las funciones de sistemas de recomendación, el uso indebido sospechado, la divulgación perjudicial, el acceso no autorizado, la explotación, el riesgo relacionado con el grooming y otros riesgos de datos personales relacionados con la seguridad que impliquen a menores. Estos asuntos se canalizan mediante procesos de revisión de privacidad, gestión de incidentes o acciones correctivas usando REG04, REG10 y REG12, según proceda. Para proveedores, encargados del tratamiento, subencargados del tratamiento y destinatarios de intercambio de datos, el Responsable de proveedores / Adquisición debe confirmar en REG08 las restricciones relacionadas con menores, instrucciones, confidencialidad, expectativas de devolución o supresión y obligaciones de asistencia documentadas antes de autorizar el tratamiento de datos personales de menores. La gobernanza y la supervisión se definen mediante revisiones trimestrales de evidencias, comprobaciones de preparación para el lanzamiento, auditorías anuales, gestión de excepciones, aplicación y revisión anual de la política. El Responsable de Privacidad / Responsable del PIMS coordina la integridad de las evidencias y el escalado en los registros pertinentes, mientras que la Alta Dirección aprueba el enfoque de control de privacidad de menores y revisa las no conformidades sistémicas. La política respalda una responsabilidad proactiva preparada para auditoría al exigir métricas de supervisión para actividades de tratamiento dirigidas a menores, evaluaciones preliminares de EIPD, cuestiones abiertas de aviso o consentimiento, cuestiones de encargados del tratamiento y de intercambio, no conformidades recurrentes y eficacia de las acciones correctivas, todo ello registrado en REG12 con evidencias de origen procedentes de los registros aplicables.